Entidades de seguridad (motor de base de datos)

Aplica a:SQL ServerAzure SQL DatabaseAzure SQL Managed InstanceAzure Synapse AnalyticsSistema de Plataforma de Analítica (PDW)Base de datos SQL en Microsoft Fabric

Las entidades de seguridad son entidades que pueden solicitar recursos de SQL Server. Igual que otros componentes del modelo de autorización de SQL Server , las entidades de seguridad se pueden organizar en jerarquías. El ámbito de influencia de una entidad de seguridad depende del ámbito de su definición: Windows, servidor o base de datos; y de si la entidad de seguridad es indivisible o es una colección. Un Inicio de sesión de Windows es un ejemplo de entidad de seguridad indivisible y un Grupo de Windows es un ejemplo de una del tipo colección. Cada principal tiene un identificador de seguridad (SID). Este tema se aplica a todas las versiones de SQL Server, pero hay algunas restricciones en las entidades de seguridad a nivel de servidor de SQL Database o Azure Synapse Analytics.

Note

Microsoft Entra ID conocido anteriormente como Azure Active Directory (Azure AD).

Entidades de seguridad de nivel de SQL Server

• Inicio de sesión para la autenticación de SQL Server
• Inicio de sesión con autenticación de Windows para un usuario de Windows
• Inicio de sesión con autenticación de Windows para un grupo de Windows
• Inicio de sesión de autenticación de Microsoft Entra para un usuario de Microsoft Entra
• Inicio de sesión de autenticación de Microsoft Entra para un grupo de Microsoft Entra
• Inicio de sesión de autenticación de Microsoft Entra para una entidad de servicio de Microsoft Entra
• Rol de servidor

Entidades de seguridad de nivel de base de datos

• Usuario de base de datos (para obtener más información sobre los tipos de usuarios de base de datos, vea CREATE USER (Transact-SQL)).
• Rol de base de datos
• Rol de aplicación

sa Iniciar sesión

El inicio de sesión de SQL Server sa es una entidad de seguridad a nivel de servidor. De forma predeterminada, se crea cuando se instala una instancia. A partir de SQL Server 2005 (9.x), la base de datos predeterminada de sa es master. Es un cambio de comportamiento con respecto a versiones anteriores de SQL Server. El inicio de sesión sa es miembro del rol fijo de nivel de servidorsysadmin. El sa login tiene todos los permisos en el servidor y no se puede restringir. No se puede quitar el sa inicio de sesión, pero se puede deshabilitar para que nadie pueda usarlo.

dbo Usuario y dbo esquema

El usuario dbo es una entidad de seguridad de usuario especial que hay en cada base de datos. Todos los administradores de SQL Server, los miembros del rol fijo de servidor sysadmin, el inicio de sesión sa y los propietarios de la base de datos especifican las bases de datos como el usuario dbo. El dbo usuario tiene todos los permisos en la base de datos y no se puede limitar ni quitar. dbo significa propietario de la base de datos, pero la dbo cuenta de usuario no es la misma que el db_owner rol fijo de base de datos y el db_owner rol fijo de base de datos no es el mismo que la cuenta de usuario que se registra como propietario de la base de datos. El usuario dbo tiene la propiedad del esquema dbo. El esquema dbo es el predeterminado para todos los usuarios, salvo que se especifique otro. El esquema dbo no se puede eliminar.

public Rol de servidor y rol de base de datos

Cada inicio de sesión pertenece al rol fijo de servidor public y cada usuario de base de datos pertenece al rol de base de datos public. Cuando a un login o usuario no se le ha concedido ni denegado permisos específicos en un securable, el login o usuario hereda los permisos concedidos a public en ese securable. No se pueden eliminar el rol fijo de servidor public ni el rol fijo de base de datos public. Sin embargo, puede revocar los permisos de los roles public. Hay muchos de los permisos que se asignan a los roles public de forma predeterminada. La mayoría de estos permisos son necesarios para realizar operaciones rutinarias en la base de datos; el tipo de tareas que todo el mundo debe poder hacer. Tenga cuidado al revocar permisos del inicio de sesión o del public usuario, ya que afectará a todos los inicios de sesión o usuarios. Por lo general, no debe denegar permisos a public, ya que la instrucción de denegación invalida cualquier instrucción de concesión que haya realizado a los usuarios.

INFORMATION_SCHEMA y sys usuarios y esquemas

Todas las bases de datos incluyen dos entidades que aparecen como usuarios en las vistas de catálogo:INFORMATION_SCHEMA y sys. Estas entidades son necesarias para uso interno por parte del motor de base de datos. No se pueden modificar ni quitar.

Inicios de sesión de SQL Server basados en certificados

Las entidades de seguridad de servidor con nombres incluidos entre signos de número dobles (##) son exclusivamente para uso interno del sistema. Las siguientes identidades se crean a partir de certificados cuando se instala SQL Server y no se deben eliminar.

• ##MS_SQLResourceSigningCertificate##
• ##MS_SQLReplicationSigningCertificate##
• ##MS_SQLAuthenticatorCertificate##
• ##MS_AgentSigningCertificate##
• ##MS_PolicyEventProcessingLogin##
• ##MS_PolicySigningCertificate##
• ##MS_PolicyTsqlExecutionLogin##

Estas cuentas principales no tienen contraseñas que puedan ser cambiadas por administradores, ya que se basan en certificados emitidos a Microsoft.

El guest usuario

Cada base de datos incluye un usuario guest. Los permisos concedidos al usuario guest son heredados por los usuarios que tienen acceso a la base de datos, pero que no tienen una cuenta de usuario en la misma. El guest usuario no se puede quitar, pero se puede deshabilitar revocando su CONNECT permiso. El CONNECT permiso se puede revocar ejecutando REVOKE CONNECT FROM GUEST; dentro de cualquier base de datos que no sea master o tempdb.

Limitations

• En SQL Database en Microsoft Fabric, solo se admiten roles y usuarios de nivel de base de datos. Los inicios de sesión a nivel de servidor, los roles y la cuenta sa no están disponibles. En la base de datos SQL de Microsoft Fabric, el identificador de Entra de Microsoft para los usuarios de la base de datos es el único método de autenticación admitido. Para obtener más información, consulte Autorización en SQL Database en Microsoft Fabric.

Tareas relacionadas

Para obtener información sobre cómo diseñar un sistema de permisos, consulte Introducción a los permisos de Motor de base de datos.

Los siguientes artículos se incluyen en esta sección de la Documentación en línea de SQL Server.

• Crear un inicio de sesión

• Roles de nivel de servidor

• Roles en el nivel de base de datos

• Roles de aplicación

Contenido relacionado

• Proteger SQL Server
• sys.database_principals (Transact-SQL)
• sys.server_principals (Transact-SQL)
• sys.sql_logins (Transact-SQL)
• sys.database_role_members (Transact-SQL)
• Roles de nivel de servidor
• Roles en el nivel de base de datos